iT邦幫忙

1

administrators群組成員的管理員權限不見

  • 分享至 

  • xImage

想請教各位前輩,我有一個網域管理員群組(Administrators)權限的帳號A,在一次重開機之後,原本不需要提權執行的程式,卻都變成全部都要提升本機權限(本機管理員)才能執行。有什麼原因可能造成這樣?我要怎麼讓這個帳號重新擁有網域管理員的權限?

1、近期沒有做windows更新
2、10月初有做樹系、網域等級的提升
3、有重加退群組了

看更多先前的討論...收起先前的討論...
Kailis iT邦研究生 1 級 ‧ 2024-11-11 10:23:12 檢舉
只有一台電腦還是所有?
如果是單台, 檢查一下,client uac 設定 , 確認沒問題後, 再測試看看,或再建另一個管理員帳號測試
snackshih iT邦新手 4 級 ‧ 2024-11-11 10:26:53 檢舉
目前有6台server重開,6台都遇到同樣情況,就是這個A帳號有問題…。
UAC都沒動過,之前的確也都不需要提權,有安排測試建新的管理員帳號…但還需要時間建立環境…。
kawa0710 iT邦研究生 5 級 ‧ 2024-11-12 09:11:45 檢舉
會不會是帳號A密碼到期了,帳號被停用?
snackshih iT邦新手 4 級 ‧ 2024-11-12 17:24:47 檢舉
帳號A的密碼原則是永久…
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
雷伊
iT邦高手 1 級 ‧ 2024-11-11 18:03:00

1.帳號A未在 Domain Admin群組成員中或是本機Administrator群組中未有Domain Admin群組.
2.檢查GPO看一下是哪個同事動了群組原則
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview

snackshih iT邦新手 4 級 ‧ 2024-11-12 07:47:36 檢舉
  • 報告~帳號A隸屬的網域管理員群組Administrators的成員,他還需要是Domain Admins群組成員嗎?
  • 同事近期也沒變動過GPO…。
  • 昨天有問了一下GPT,我在命令模式下whoami /groups,帳號A隸屬的Administrators群組,在屬性是:「僅用於拒絕的群組」,過去沒注意過,所以不太確定是不是以前就這個屬性。唯一能知道的只有在重新啟動server後,帳號A就沒辦法正常執行程式…。https://ithelp.ithome.com.tw/upload/images/20241112/20106763LBvfdiPKzO.png
0
sam0407
iT邦大師 1 級 ‧ 2024-11-12 10:15:27

之前有邦友問過類似的問題,您可以參考看看。

在最後一位kevinhuang大的回答中,我看到一句話(斜體加粗部份)覺得可能是關鍵:

Domain Admin ==> 此為一個安全屬性的群組,在Active Directory環境中,它擁有針對該擁有的網域中的所有物件的完全控制的權限,預設會被加入到該網域中所有電腦中的本機的Administratore管理群組中。

在看邦友討論的過程中,我也在想微軟為什麼在網域中有分Administrators及Domain Admins這兩個群組,權限都非常大,分別要應用在什麼情境?剛好看到了這句話,推論Administrators是用於DC管理上,而Domain Admins用於Client端管理用。

怎麼驗證我的推論正不正確?原PO您可以將A帳號加入Domain Admins群組中,再重新登入試試看~~

snackshih iT邦新手 4 級 ‧ 2024-11-12 17:24:25 檢舉

加入Domain Admins的確是可以解決問題,昨天在建立好環境後,有驗證過了,但我比較在意的是,過去一直都是網域administrators群組的成員,也都一直有管理員的權限,為什麼在重啟電腦後,就沒有管理員權限了…。

我要發表回答

立即登入回答